Geum.ru

Фигурнов В. Э. Ф49 ibm pc для пользователя. Изд. 7-е, перераб и доп

Вид материалаКнига

Содержание


Х" х^ !х!хх:х:.хх.:..
Глава 36. Защита от вирусов при работе в DOS
Часть 7. DOS для опытного пользователя
Глава 36. Защита от вирусов при работе в DOS
Подобный материал:
1   ...   47   48   49   50   51   52   53   54   ...   87
Глава 35. Обслуживание дисков в DOS


^

Формат команды


Способы оптимизации


Другие режимы


Примеры


Процесс

оптимизации


лов. Одной из таких программ является программа SpeeDisk из комплекса Norton

Utilities.


Замечания. -\_ Norton Utilities версии 8.0 содержат версию программы SpeeDisk (Norton

Speed Doctor) для работы в среде Windows 3.1, a Norton Utilities 95 включают версию про-

граммы для использования в Windows 95.


2. Программа SpeeDisk откажется работать под Windows 3.1 и DesqView, а также если в

компьютере установлена программа FastOpen. В этом случае следует выйти из Windows и

DesqView ин или удалить команду установки программы FastOpen из файла AU-

TOEXEC.BAT или CONFIG.SYS.


3. Использовать программу SpeeDisk в Windows 95 или применять ее для обработки дисков

с длинными именами, созданными Windows 95 и Windows NT, крайне нежелательно. Ведь

эта программа не понимает длинные имена, так что ее применение может привести к потере

длинных имен файлов и каталогов (останутся только короткие имена).


speedisk дисковод', {режимы}


Если в командной строке заданы и дисковод, и способ оптимизации, программа

SpeeDisk сразу приступает к работе. В противном случае программа выводит за-

просы о незаданных параметрах.


Среди параметров, определяющих способ оптимизации, отметим следующие:


/FF Ч полная оптимизация с упорядочением размещения файлов;

/FD Ч полная оптимизация с перемещением каталогов в начало диска;

/U Ч устранение фрагментации файлов.


Среди этих режимов самым медленным, но и самым эффективным является режим

/FF. При его применении устраняется фрагментация всех файлов, все каталоги пере-

мещаются в начало диска, вслед за ними записываются файлы, причем файлы из одно-

го каталога помещаются рядом. Значительно быстрее работает режим /FD, при его

использовании файлы из одного каталога уже не обязаны помещаться рядом. И самым

быстрым, но и наименее эффективным является режим /U, при котором только устра-

няется фрагментация файлов.


При средней интенсивности эксплуатации диска оптимизацию диска в режиме

/FF целесообразно выполнять раз в месяц, а в режиме /FD Ч раз в неделю.


Среди других режимов программы SpeeDisk отметим следующие:


/V Ч выполнять проверку правильности записи на диск (это увеличивает время


работы программы, но увеличивает ее надежность):


/В Ч перезагрузить компьютер после окончания работы программы SpeeDisk (это

может быть необходимо при использовании некоторых программ кэширования

диска).


speedisk с: /FD Ч оптимизация диска С: с полной оптимизацией диска и перемещением


каталогов в начало диска;


speedisk d: /U Ч быстрая оптимизация диска D: с устранением фрагментации файлов.


При оптимизации (сжатии) диска на экран выводится карта диска (рис. 35.10), в

которой специальными символами отмечены занятые, неиспользуемые, частично

используемые, неперемещаемые и дефектные участки диска:


Ц Ч полностью занятый участок диска;

III Ч неиспользуемый или частично используемый участок диска;

Х Ч неперемещаемый участок диска;

В Ч дефектный участок диска.


Эти обозначения приведены в правом нижнем углу экрана.


В нижней части экрана посередине располагается диаграмма (полоска), изобра-

жающая ход форматирования диска. В процессе сжатия диска программа SpeeDisk

наглядно показывает ход работы на экране. Обработанная часть диска выделяется

желтым цветом (на монохромных мониторах Ч повышенной яркостью). Действия

программы изображаются с помощью следующих обозначений:


r Ч участок диска читается;

W Ч участок диска записывается;

V Чучасток диска проверяется.


Процесс сжатия диска можно прекратить, нажав клавишу Цзс),


Часть 7. DOS для опытного пользователя


Optimize Configure Information Help


11111111111111111111111111111111111111111111111111,1111111111111





.-и""'


"!ii&


^1


. rr'..

^ Х" Х^ !Х!ХХ:Х:.ХХ.:..


^fe


и" " ;^Ж^"

. .Д-^й"''"'". Д


^^!'; 'Х

.,^1'


^й^'


Status


Legend


Cluster 2469


Elapsed Time: 00:01:39

Full Optimization


D


- Used Ц11 - Partial :"l - Unused

r - Reading W - Writing

В - Bad X - Unmovable

Drive F: 1 block = 51 clusters


Выход из программы


^


Рис. 35.10. Сжатие диска программой SpeeDisk


Если в командной строке при вызове программы SpeeDisk заданы и дисковод, и

способ оптимизации, программа сразу приступает к работе (как это было сказано

раньше), а по ее окончании Ч сразу выходит в DOS. А в диалоговом режиме ра-

боты по окончании сжатия диска программа выводит запрос о последующих дей-

ствиях. Вы можете выбрать клавишами Q и (Ч) один из следующих вариантов:


Another drive Ч переход к сжатию другого диска:

Configure Ч выход в меню конфигурации программы SpeeDisk,

Exit Speed Disk Ч выход из программы SpeeDisk.


Замечания, i. Поскольку программа SpeeDisk работает с диском не с помощью DOS, а

напрямую, на некоторых не полностью совместимых с IBM PC компьютерах ее применение

может привести к потере данных на диске (так утверждается в документации, на практике

я таких случаев не знаю). Поэтому перед первым применением программы для сжатия же-

сткого диска рекомендуется на всякий случай сохранить все файлы диска на дискетах или

кассете стримера. В дальнейшем, если все будет в порядке, программу SpeeDisk можно

использовать без опасений.


2. Во время работы программы SpeeDisk не следует выключать электропитание компьюте-

ра. Для принудительного завершения работы программы следует нажать клавишу СЕ-ЗС"].


35.7. Проверка надежности жесткого диска


Пример


Программа Calibrate из комплекса Norton Utilities позволяет проверять надежность

чтения-записи на жесткий диск путем записи на диск различных специально подо-

бранных данных (образцов) и тестирования правильности записи (рис. 35.11). Ин-

формация на диске при этом не уничтожается. Формат вызова программы:


Calibrate дисковод: /Pattern '.число-образцов-тестирования

/Batch У^\'.имя-файла-отчета~) /NoFormat


Calibrate с: /Batch /Pattern:80 /R:e:\xxx /NoFormat .


Число-образцов может быть: 5 Ч минимальное тестирование, 40 Ч стандартное,

80 Ч супернагрузочное тестирование.


Замечания, -i. На диске со средним временем доступа 12 мс такое тестирование занимает

соответственно 12 мин, 1,5 чиЗч на 100 Мбайт диска.


2. Рекомендуется проверять жесткий диск (жесткие диски) с 5 образцами (минимальное

тестирование) раз в один-два месяца, с 40 образцами Ч раз в полгода. Супернагрузочное

тестирование (оО образцов) следует применять для проверки диска, в котором, по всей ви-

димости, имеются дефекты.


Глава 36


Защита от вирусов при работе в DOS


В этой главе мы расскажем о применении антивирусных программ, работающих в сре-

де DOS Ч Aidstest, Dr. Web, ADinf, ADinf Cure Module (ADinfExt) и др. Перед чтением

этой главы желательно ознакомиться с главой II, в которой освещаются общие вопро-

сы защиты от вирусов.


36. 1. Программы-детекторы Aidstest и Dr. Web


Программа-детектор

Aidstest


Антивирусная программа-детектор Aidstest была создана Д.Н.Лозинским еще в 1988 г.

и с той поры она постоянно совершенствуется и пополняется. По состоянию на сере-

дину 1996 г. она выявляет и удаляет более 1500 вирусов.


Программа Aidstest предназначена для обнаружения и исправления программ, зара-

женных обычными (неполиморфными) вирусами, то есть вирусами, не меняющими

свой код. Это ограничение вызвано тем, что поиск вирусов программой Aidstest ведет-

ся по опознавательным кодам вирусов (сигнатурам). Зато при этом достигается очень

высокая скорость проверки файлов.


Ограничения Программа Aidstest:


Достоинства


Программа -детектор

Dr. Web


Отличия от Aidstest


* не распознает полиморфные вирусы:


Х не снабжена эвристическим анализатором, позволяющим находить неизвестные ей

вирусы;


Х не умеет проверять и лечить файлы в архивах;


Х не распознает вирусы в программах, обработанных упаковщиками исполнимых

файлов типа ЕХЕРАСК, DIET, PKLITE и т.д.


Указанные ограничения программы Aidstest не мешают ее заслуженной популярности,

поскольку она:


Х легка в использовании;


Х работает очень быстро:


Х распознает значительную часть распространенных в России вирусов;


Х хорошо интегрирована с программой-ревизором ADinf;


Х работает практически на любом компьютере.


Пожалуй, единственный серьезный недостаток программы Ч это ее неумение прове-

рять и лечить файлы в архивах. А для обнаружения и исправления программ, зара-

женных полиморфными вирусами, фирма "Диалог-Наука" предлагает программу

Dr. Web, описанную ниже.


Программа-детектор Dr.Web создана в 1994 г. И.А.Даниловым. Это более сложная про-

грамма, чем Aidstest, хотя назначение ее то жеЧ обнаруживать вирусы и удалять их.

Программа Dr.Web снабжена эмулятором процессора, позволяющим имитировать вы-

полнение программы, и эвристическим анализатором, позволяющим выявлять при та-

кой имитации выполнения подозрительное поведение анализируемой программы, обна-

руживая тем самым новые, неизвестные Dr.Web вирусы.


В отличие от Aidstest, программа Dr.Web:


Х распознает полиморфные вирусы;


Х может выявлять значительную часть неизвестных ей вирусов;


Х умеет проверять и лечить файлы в архивах;


Х распознает вирусы в программах, обработанных упаковщиками исполнимых файлов

типа ЕХЕРАСК, DIET, PKLITE и т.д.


^ Глава 36. Защита от вирусов при работе в DOS


Недостатки

программы


Установка программ


Запуск программ


Формат вызова


Объект проверки


Тем не менее, нельзя сказать, что Dr.Web "лучше" Aidstest и может заменить Aidstest.

Многие вирусы, которые обнаруживает Aidstest, Dr.Web не распознает. Поэтому про-

граммы Aidstest и Dr.Web надо применять совместно.


Замкчини^. Ранее представители фирмы "Диалог-Наука" заявляли, что программа Dr.Web

будет в кратчайшие сроки научена опознавать все вирусы, которые знает Aidstest, после

чего программа Aidstest окажется больше не нужна и оудет снята с производства. Но затем

от этой идеи фирма отказалась Ч по всей видимости, по коммерческим соображениям

(нежелание терять популярное название "Aidstest" и т.д.).


Среди недостатков программы можно отметить только ее значительно более медлен-

ную по сравнению с Aidstest работу и несовместимость параметров программы с пара-

метрами Aidstest.


Для установки программы достаточно скопировать файлы программ AIDSTEST.ЕХЕ и

DRWEB.EXE в нужный каталог.


3:'iMi' чппис При установке программ Aidstest и Dr.Web на жесткий диск может быть по-

лезно переименовать файлы этих программ, так как некоторые вирусы специально борются

с этими программами (скажем, портят файлы этих программ, форматируют жесткий диск в

момент их запуска и т.д.).


Программа Aidstest работает только в пакетном режиме, то есть позволяет задавать

свои параметры только в командной строке, а не с помощью меню и запросов. В мо-

мент запуска Aidstest в памяти компьютера не должно быть резидентных антивирус-

ных программ, которые блокируют запись в программные файлы.


Программа Dr.Web может работать как в диалоговом режиме (когда параметры про-

граммы вводятся через меню и запросы), так и в пакетном режиме (когда параметры

задаются только в командной строке). Однако поскольку программу Dr.Web рекомен-

дуется использовать совместно с Aidstest, a Aidstest работает только в пакетном режи-

ме, то мы будем рассматривать лишь пакетный режим программы.


Формат вызова программ:


AIDSTEST ^объект-проверки]... {режимы}...

DRWEB {_объект-проверки~]... /CL/RV/HI/AR/HA1 {режимы}...


Замечания. 1- Здесь приведенные параметры программы Dr.Web означают следующее: /CL

Ч раоота в пакетном режиме, /RV Ч проверка на наличие резидентных вирусов, /HI Ч

проверка не только обычной памяти компьютера, но также "верхней памяти" и первых 64

Кбайт расширенной памяти компьютера (с адресами от 640 до 1088 Кбайт), /AR Ч проверка

архивов, /НА1 Ч установить максимальный уровень эвристического анализа на наличие

неизвестных вирусов. Эти параметры задаются почти всегда, разве лишь на IBM PC XT

параметр /HI Чзадавать не надо Ч там верхней памяти не бывает.


2. Чтобы не задавать столько параметров программы Dr.Web, следует вызывать эту про-

грамму из командного файла. Из того же командного файла следует вызывать и Aidstest,

тем самым эти программы будут работать совместно, дополняя друг друга. Примеры таких

командных файлов приведены в этой главе ниже.


3. В принципе, от необходимости задания параметров программы Dr.Web /RV, /HI, /AR, /НА1

(как и других параметров) можно избавиться, задав параметр /SV Ч тогда программа за-

помнит заданные параметры в своем .INI-файле (он имеет то же имя, что и программа

Dr.Web, но расширение /.INI), после чего данные параметры используются по умолчанию.


4. Если при максимальном уровне эвристического анализа программа Dr.Web дает много

ложных сообщений о наличии вирусов или работает слишком медленно, установите мини-

мальный уровень эвристического анализа, задав параметр /НАО, а не /НА1.


5. При вызове программы Dr.Web режимы должны указываться только после указания объ-

ектов проверки (a Aidstest, как и большинство других программ, не столь педантична).


При вызове программ объект-проверки может быть одним из следующих:


* Ч все логические диски, расположенные на жестких дисках компьютера, то есть

диски, начиная с С: , кроме сетевых, электронных, съемных дисков, компакт-

дисков и дисков, созданный командой Subst;

** Ч все логические диски, начиная с С: ;

буква-диска'. Ч проверяется указанный диск;

имя-каталога Ч проверяются все файлы в указанном каталоге,

. Ч проверяются все файлы в текущем каталоге;


имя-файла Ч проверяется данный файл. В имени (но не в указании диска и каталога)

можно использовать символы * и ?, это позволяет проверять файлы, имена кото-

рых удовлетворяют шаблону.


Можно указывать несколько объектов проверки.


^ Часть 7. DOS для опытного пользователя


Режимы программ


Проверяемые

объекты


Лечение

Вывод сообщений


Протокол проверки


Время проверки


Диск для временных

файлов


Замечания 1- При указании в качестве объекта проверки диска, каталога или файла на

диске программы Aidstest и Dr.Web проверяют также и системные области этого диска

(загрузочный сектор, а для жестких дисков Ч и главный загрузочный сектор).


2. При задании режима /@ (см. ниже) параметр объект-проверки задавать не обязательно,

так как в этом случае программы проверяют файлы из списка, указанном в режиме /@ .


Примеры задания объектов проверки:


* Ч проверка всех логических дисков, расположенных на жестком диске;

*" Ч проверка всех дисков, начиная с диска С: ,

С: D: Е: Ч проверка дисков С:, D: и Е: ;

а:Ч проверка диска А: :


С:\ЕХЕ Ч проверка всех файлов в каталоге С:\ЕХЕ ,

. Ч проверка всех файлов в текущем каталоге,

a:\*.coni Ч проверка всех .СОМ-файлов в корневом каталоге диска А: ;

a:\example.com Ч проверка файла EXAMPLt.COM в корневом каталоге диска А:


Мы будем описывать не все режимы программ, а лишь основные из них. С остальными

режимами можно ознакомиться по документации программ. Режимы можно указывать

как прописными, так и строчными буквами.


/UPN


Aidstest Dr. Weh Описание режима

/G /AL Проверять все файлы подряд. По умолчанию Aidstest проверяет

только .СОМ, .ЕХЕ и .SYS-файлы, a Dr.Web Ч также файлы с

расширениями, .ВАТ, .DRV, .BIN, .DLL, .BOO, .0V?, .DOC и

.DOT. Режим рекомендуется задавать только при лечении, он

нужен потому, что некоторые вирусы заражают файлы оверлеев

программ, а они могут иметь любое расширение.

Проверка также "упакованных" исполнимых файлов, то есть

исполнимых файлов, сжатых программами типа ЕХЕРАСК, DIET

и др. Следует иметь в виду, что при этом программа Dr.Web соз-

дает временный файл на диске (см. параметр /TD ниже).







/OF

/FN


/F /S /CU /DL Режим лечения: зараженные программы исправляются, а безна-

дежно испорченные Ч удаляются.

Не выводить запрос о смене дискеты после проверки дискет.

Загрузить в видеоконтроллер шрифты русских букв (для EGA

или VGA). Режим полезен, если монитор не русифицирован, а

шрифты до запуска программы в знакогенератор не были загру-

жены.


/L





/Римя-

файла

/Р+имя-

файла


/LN


/RPprn


^имя-

файла


Выводить сообщения по-английски (это может быть полезно при

наличии древнего нерусифицированного видеоконтроллера и при

выводе протокола на нерусифицированные принтеры).

Вывести протокол проверки на принтер (устройство PRN).

Принтер необходимо включить заранее.

Вывод протокола проверки в указанный файл (если файл суще-

ствует, его содержимое теряется).


/RP+имя- Запись протокола проверки в конец указанного файла (если

файла файл не существует, он создается).


/NR Не создавать протокол проверки (по умолчанию программа

Dr.Web записывает протокол в конец файла REPORT. WEB, на-

ходящегося в том же каталоге, что и файл программы).


секунд


/МТчисло- Лимит времени на анализ одного файла. По умолчанию это 30 с

на компьютерах с процессором 80486 или Pentium, 60 с на ком-

пьютерах с процессором 80386, 120 с на компьютерах с процес-

сором 80286 и 240 с на компьютерах с процессором 8086 или

8088. Для обнаружения сложнополиморфных вирусов рекомен-

дуется увеличить данное время проверки в два раза.


/ТОдиск: Параметр определяет диск, на котором программа Dr.Web будет

создавать временные файлы. По умолчанию для этого использу-

ется текущий на момент запуска программы диск. Временные

файлы создаются программой Dr.Web при проверке "упакован-

ных" исполнимых файлов (то есть исполнимых файлов, сжатых

программами типа ЕХЕРАСК, DIET, PKLITE и др.).


Замечание ^ Х ПР^ ошибке в задании параметров на экран выдается краткое описание

формата вызова программы.


^ Глава 36. Защита от вирусов при работе в DOS


Примеры


2. Чтобы программа Dr.Web выводила имена программ-упаковщиков,

файлы, задайте программе Dr.Web параметр /UP, а не /UPN.


3. Как говорилось выше, программа Dr.Web может запомнить заданные при ее запуске па-

раметры в своем .INI-файле. дтот файл имеет то же имя, что и программа Dr.Web, но рас-

ширение .INI. Для запоминания при запуске программы надо задать наряду с желаемыми

параметрами также и параметр /SV. После этого данные параметры будут использоваться по

умолчанию. Параметр /CL, задающий работу в пакетном режиме, запомнить нельзя.


4. Программа Dr.Web может не только лечить зараженные файлы, но и удалять их или пе-

реименовывать. Для этого вместо параметра /CU задайте параметр /CUD (удаление заражен-

ных файлов) или /CUR (переименование зараженных файлов). При переименовании первый

символ в расширении зараженных файлов заменяется на символ "V" (например, заражен-

ный файл hORMAT. СОМ переименовывается в FORMAT.VOM).


Приведем примеры вызова программ Aidstest и Dr.Web. При описании формата вызова про

граммы Dr.Web мы будем заменять многоточием набор стандартных параметров /CL /RV /Н


ipoaepi

SYS-ф


граммы Dr.Web мы будем заменять многоточием набор стандартных параметров /CL /RV /HI

/AR /НА1 .


aidstest

drweb *


aidstest A /G

drweb * /AL

drweb A: aidstest k': . /OF /B

aidstest drweb C: C: /G /P . /AL /PRprn

aidstest drweb * , /F /S /G

. . . /CU /DL /AL


aidstest A:\EXAHPLE.EXE /F


drweb A:\EXAMPLE.EXE ... /CU /DL заражен вирусом


юверка стандартного набора файлов (.СОМ, .ЕХЕ

YS-файлы, для Aidstest, a Dr.Web Ч также файлы с

расширениями, .ВАТ, .DRV, .BIN, .DLL, .BOO, .0V?,

.DOC и .DOT) на жестких дисках компьютера:


проверка всех файлов на жестких дисках (то есть на

всех логических дисках, расположенных на жестких

дисках компьютера),


проверка стандартного набора файлов (см. выше) на

дискете в дисководе А:. По окончании проверки запрос о

проверке еще одной дискеты не выдается,


проверка всех файлов на диске С: с выдачей протокола

проверки на принтер;


проверка и лечение всех файлов на жестких дисках ком-

пьютера;


проверка файла A:\EXAHPLE.EXE и лечение его, если он


36.2. Проверка на наличие вирусов


Ответы на запросы

программ


Если все в порядке


В этом параграфе мы расскажем о том, как происходит процесс проверки на наличие

вирусов при использовании программ Aidstest и Dr.Web.


В некоторых ситуациях программы Aidstest и Dr.Web выводят запросы, требующие

того или иного ответа от пользователя. В ответ на запросы программы Aidstest надо

обычно нажать клавишу Q, чтобы ответить "да", или клавишу О), чтобы ответить

"нет". А запросы программы Dr.Web представляют собой прямоугольник на экране с

несколькими вариантами ответа. Вы можете либо выделить на экране клавишами Q и

Q надпись с нужным вариантом ответа и нажать [Enter), либо щелкнуть эту надпись

мышью.


После запуска программы Aidstest и Dr.Web сначала выводят заставку, содержащую

сведения о версии программы, телефонах фирмы "Диалог-Наука" и т.д. Затем про-

граммы проверяют оперативную память компьютера на наличие резидентных вирусов,

после чего выполняют проверку каждого объекта, указанного в командной строке про-

граммы. Если все в порядке, для каждого объекта проверки программа выводит табли-

цу с итогами проверки. Например, программа Aidstest выводит такую таблицу:


Проверка


(метка тома: FUJITSU_1)


Проверено файлов:

Заражено файлов:


- начальных секторов:

Следов вирусов DIR:


А программа Dr.Web Ч такую:


572

о

о

о


Отчет для диска D:

Проверено : файлов

Обнаружено: вирусов

Время сканирования:


загрузочных секторов - 146

инфицированных программ - О

00:00:50